当前位置:首页 > 芯闻号 > 充电吧
[导读]618电商大促正在火爆进行中,各个平台、商家都使出了浑身解数,也有人趁机浑水摸鱼。近期,不少用户的电脑频繁出现托盘区闪烁弹窗,点击后会打开淘宝天猫的6.18促销网页。 难道是淘宝天猫的新手段?据火绒安

618电商大促正在火爆进行中,各个平台、商家都使出了浑身解数,也有人趁机浑水摸鱼。近期,不少用户的电脑频繁出现托盘区闪烁弹窗,点击后会打开淘宝天猫的6.18促销网页。

难道是淘宝天猫的新手段?据火绒安全报告,经过工程师溯源调查后发现,该弹窗均竟然来自于用户量极大的搜狗输入法!

据介绍,搜狗输入法的这个广告配置通过云控下发,无法通过设置关闭,而且除了疯狂弹窗,还存在统计用户浏览器浏览历史数据等越位行为,符合广告程序的定义。

根据分析,搜狗输入法通过云控,向用户下发专门添加了用以在6.18期间弹窗的相关组件,而该组件与“搜狗输入法”主程序功能之间并无任何关联作用。

用户安装运行“搜狗输入法”后,就会频繁收到托盘闪烁弹窗,如果不小心点击,就会打开关于天猫6.18整个推广促销网页。

虽然右键可暂时退出该弹窗,但根据其云控下发的配置,5小时后仍旧会再次顽固弹出,循环往复,严重影响用户的正常上网及工作。

更为严重的是,搜狗输入法还会收集用户本地的安全软件、广告拦截工具的运行状态,甚至搜集用户IE浏览器和搜狗浏览器历史记录数量、页面标题数量,并回传至后台服务器,推测是用于制作用户画像,进行精准推广。

该行为涉及隐私数据,严重越位,存在损害用户权益的风险。

目前,火绒最新版已对搜狗输入法内的弹窗与搜集用户信息的模块进行拦截查杀,可能会导致搜狗输入法的“工具”功能无法使用,但不影响文字输入等主要功能。

附录:火绒安全分析报告原文—;—;

一、详细分析近期,搜狗输入法用户大量遇到6.18托盘广告弹窗的情况,该流氓推广行为通过云控下发,在搜狗输入法界面中未发现相关功能开关。广告弹窗程序showinfo.exe由sgutil.dll释放执行,sgutil.dll被sgtool.exe调用。相关代码,如下图所示:


sgtool.exe加载执行sgutil.dll

sgutil.dll执行”StartPopupServer”导出函数后,会根据云端配置释放执行托盘广告模块showinfo.exe。相关代码,如下图所示:


根据配置决定是否释放执行showinfo模块

showInfo.exe模块主要负责弹出桌面托盘广告图标及更新广告配置。当此模块运行之后,首先会对存放于%Appdata%\LocalLow\SogouPY\Popup\traynet\目录下的配置资源config.ini进行AES解密并读取其中的配置信息,相关信息如下图所示:


AES解密并读取配置信息

解密后的config.ini配置信息如下图所示:


解密后的config.ini信息

解密并读取配置信息无误之后,showInfo.exe模块便会收集:系统硬件签名、主机运行的安全软件等信息,连同搜狗输入法的版本信息一起回传。收集的安全软件信息如下图所示:


收集的安全软件信息

收集安全软件运行信息相关代码如下图所示:


收集安全软件信息

收集的安全软件信息以标记位形式发送给服务器(sfsw及sfw参数中0,1代表各家安全软件运行状态。0代表未运行,1代表正在运行),相关信息如下图所示:


收集的主机信息内容

收集完所需的主机信息之后,程序便会将其与“http://api.pinyin.sogou.com/v1/bubble/ad“加密发送给服务器“http://get.sogou.com/q”, 发送加密信息相关代码如下图所示 :


发送加密信息


传输的数据信息

服务器根据发送信息,返回加密数据。程序通过AES算法解密之后便得到托盘广告所需的配置信息,解密数据相关代码如下图所示:


AES解密返回数据

解密后的配置数据如下图所示:


解密后的配置数据

当得到所需的托盘广告配置信息以后,程序便将其AES加密并更新到%Appdata%\LocalLow\SogouPY\Popup\traynet\目录下的net.ini文件中。之后,开始检查当前系统时间是否在net.ini配置中所规定的“sdate”到“edate”时间范围之内,并且查询当前系统时间距离上次关闭广告托盘的时间(config.ini中的lastclose字段值)是否大于5个小时(net.ini中的interval字段值),满足上述两个条件则弹出托盘广告,相关代码如下图所示:


时间检测

弹出广告托盘相关现象如下图所示:


广告托盘

sgutil模块在sgutil.dll加载执行后会根据云端返回的配置决定是否弹出托盘广告,广告弹窗的功能开关只能由云控页面控制(hxxp://api.pinyin.sogou.com/v1/config/netswitch_pc),在搜狗输入法界面中,未发现相关弹窗功能开关。从云端请求的配置信息中“trayad”为弹出开关标记位,如下图所示:


云端配置

当“trayad”标记位为1时,sgutil.dll会从资源中释放执行showinfo模块。相关代码,如下图所示:


从资源中释放showinfo模块

sgutil.dll会间隔6个小时取最新云端开关的状态。相关代码,如下图所示:

请求云端开关配置

并且根据不同地区多次测试发现,请求到的开关配置会有所不同。相关现象如下图所示:


不同地区多次测试得到不同的配置

sgutil.dll除了会释放showInfo.exe外,还会收集Chrome内核浏览器和IE浏览器的历史记录信息。虽然历史记录中的URL、标题等数据也会进行收集,但是尚未发现上传上述数据的相关代码逻辑,现阶段仅会上传历史记录条目数量。在获取Chrome内核浏览器历史记录信息时,首先会根据预留的浏览器历史记录数据库路径找到数据库所在位置,如果预留路径为空,则不会执行任何操作。除IE浏览器外,现阶段最新的sgutil.dll模块只会获取搜狗浏览器的历史记录信息。获取Chrome内核浏览器历史记录信息,相关代码如下图所示:


搜集用户浏览器历史中的标题个数

获取搜狗浏览器历史记录信息相关代码,如下图所示:


获取搜狗浏览器历史记录信息

获取其他浏览器历史信息相关代码,如下图所示:


获取其他Chomre内核浏览器历史记录信息

在搜集历史记录信息结束后,会将搜狗浏览器历史记录条目数拼接到HTTP请求参数中。相关代码,如下图所示:


将收集到的浏览器历史信息拼接为HTTP请求参数

获取IE浏览器中历史记录条目数和标题数相关代码,如下图所示:


收集IE浏览器历史记录信息

上述收集到的浏览器历史记录条目数量和标题数量,会被拼接为回传数据的请求链接地址,回传地址为:hxxp://ping.pinyin.sogou.com/webtitlequery.gif。相关代码,如下图所示:


拼接上传浏览器历史信息的请求参数

由于在目前最新模块中发现了疑似查找360安全浏览器等其他浏览器相关逻辑,但统计这些浏览器浏览历史的代码逻辑无法激活,所以推测以往版本中该模块曾安插过统计其他浏览器浏览历史的代码逻辑。通过分析发现,在2015年的sgutil.dll模块中,我们发现该模块会收集更多不同浏览器的历史记录信息,包括:360安全浏览器、搜狗浏览器、Chrome浏览器、360极速浏览器、猎豹浏览器和淘宝浏览器。相关代码及数据,如下图所示 :


早期的sgutil.dll模块历史记录信息收集代码

2015年的sgutil.dll模块文件信息及数字签名信息,如下图所示:


2015年的sgutil.dll模块文件信息及数字签名信息

本站声明: 本文章由作者或相关机构授权发布,目的在于传递更多信息,并不代表本站赞同其观点,本站亦不保证或承诺内容真实性等。需要转载请联系该专栏作者,如若文章内容侵犯您的权益,请及时联系本站删除。
换一批
延伸阅读

9月2日消息,不造车的华为或将催生出更大的独角兽公司,随着阿维塔和赛力斯的入局,华为引望愈发显得引人瞩目。

关键字: 阿维塔 塞力斯 华为

加利福尼亚州圣克拉拉县2024年8月30日 /美通社/ -- 数字化转型技术解决方案公司Trianz今天宣布,该公司与Amazon Web Services (AWS)签订了...

关键字: AWS AN BSP 数字化

伦敦2024年8月29日 /美通社/ -- 英国汽车技术公司SODA.Auto推出其旗舰产品SODA V,这是全球首款涵盖汽车工程师从创意到认证的所有需求的工具,可用于创建软件定义汽车。 SODA V工具的开发耗时1.5...

关键字: 汽车 人工智能 智能驱动 BSP

北京2024年8月28日 /美通社/ -- 越来越多用户希望企业业务能7×24不间断运行,同时企业却面临越来越多业务中断的风险,如企业系统复杂性的增加,频繁的功能更新和发布等。如何确保业务连续性,提升韧性,成...

关键字: 亚马逊 解密 控制平面 BSP

8月30日消息,据媒体报道,腾讯和网易近期正在缩减他们对日本游戏市场的投资。

关键字: 腾讯 编码器 CPU

8月28日消息,今天上午,2024中国国际大数据产业博览会开幕式在贵阳举行,华为董事、质量流程IT总裁陶景文发表了演讲。

关键字: 华为 12nm EDA 半导体

8月28日消息,在2024中国国际大数据产业博览会上,华为常务董事、华为云CEO张平安发表演讲称,数字世界的话语权最终是由生态的繁荣决定的。

关键字: 华为 12nm 手机 卫星通信

要点: 有效应对环境变化,经营业绩稳中有升 落实提质增效举措,毛利润率延续升势 战略布局成效显著,战新业务引领增长 以科技创新为引领,提升企业核心竞争力 坚持高质量发展策略,塑强核心竞争优势...

关键字: 通信 BSP 电信运营商 数字经济

北京2024年8月27日 /美通社/ -- 8月21日,由中央广播电视总台与中国电影电视技术学会联合牵头组建的NVI技术创新联盟在BIRTV2024超高清全产业链发展研讨会上宣布正式成立。 活动现场 NVI技术创新联...

关键字: VI 传输协议 音频 BSP

北京2024年8月27日 /美通社/ -- 在8月23日举办的2024年长三角生态绿色一体化发展示范区联合招商会上,软通动力信息技术(集团)股份有限公司(以下简称"软通动力")与长三角投资(上海)有限...

关键字: BSP 信息技术
关闭
关闭